popularne
Najczęściej czytane
- Jak skutecznie chronić się przed DDoS? (czytane 1240 razy)
- Na co zwrócić uwagę przy wdrożeniu IPS i DLP? (czytane 279 razy)
- Krajowe Ramy Interoperacyjności opublikowane (czytane 40 razy)
Biblioteka Wiedzy poleca
Office 365 - podręcznik użytkownika
Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »
Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe
Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »
Dlaczego warto korzystać z Office 365?
Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »
powiększ tekst 
ARCHIWUM
Audyt bezpieczeństwa informacji
10 marca 2009
Radosław Kaczorek Proces zarządzania bezpieczeństwem informacji jest relacją trójstronną, w której występować powinni przedstawiciele biznesu, informatyki i niezależny audytor.Computerworld — O tym, że bezpieczeństwo informacji to ciągły proces, a nie stan, powinni wiedzieć już wszyscy. Problem w tym, że każdy inaczej rozumie ten proces i realizuje go w różny sposób. Wiele firm w ramach zapewnienia bezpieczeństwa informacji ogranicza się do przeprowadzenia okresowych testów penetracyjnych i wdrożenia usprawnień wynikających z takich testów. Jeszcze inne popełniają grzech pierworodny i obdarzają administratora systemów IT bezgranicznym zaufaniem, pozostawiając temat bezpieczeństwa informacji w jego wyłącznej gestii. Nadal niewiele firm podchodzi do tematu bezpieczeństwa informacji w sposób właściwy i kompletny. Jednocześnie technologie wykorzystywane w biznesie są coraz bardziej skomplikowane, a liczba zagrożeń rośnie z roku na rok.
Norma bezpieczeństwa
Podejście procesowe do zarządzania bezpieczeństwem informacji jest powszechnie obowiązującym standardem. Znajduje on odzwierciedlenie w normie z zakresu zarządzania bezpieczeństwem informacji tj. PN-ISO/IEC 27001 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania (ramka). W normie tej stosuje się model PDCA, zwany cyklem Deminga. Model ten określa podejście procesowe w celu ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (ISMS) w organizacji. Model PDCA zakłada, iż na początku planujemy działanie (Plan), następnie po jego wdrożeniu (Do) weryfikujemy, czy przynosi ono oczekiwane rezultaty (Check) i na koniec wprowadzamy korekty do działania (Act) w celu jego usprawnienia.
Ogromna część zadań określonych w procesie zarządzania bezpieczeństwem informacji leży po stronie osób na co dzień zajmujących się administracją systemami IT. Nie wszystkie jednak zadania powinny być wykonywane przez te osoby. Niestety w trakcie wielu przeprowadzonych przeze mnie audytów przekonałem się, że często nawet etap planowania (ustanowienie ISMS) pozostawia się działom informatyki. Podobnie ma się sprawa z etapem sprawdzania (monitorowanie i przegląd ISMS). Przypisywanie tych odpowiedzialności działom informatyki jest powszechnym błędem, który często prowadzi do braku wsparcia procesu zarządzania bezpieczeństwem przez przedstawicieli biznesu i istotnego ograniczenia jego skuteczności i efektywności. Paradoksalnie cały ten proces ma na celu ochronę informacji... biznesowej.
| Wymagania normy PN-ISO/IEC 27001 | ||
| Planuj (ustanowienie ISMS) | Ustanowienie polityki ISMS, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. | |
| Wykonuj (wdrożenie i eksploatacja ISMS) | Wdrożenie i eksploatacja polityki ISMS, zabezpieczeń, procesów i procedur. | |
| Sprawdzaj (monitorowanie i przegląd ISMS) | Szacowanie i pomiar wydajności procesów w odniesieniu do polityki ISMS, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. | |
| Działaj (utrzymanie i doskonalenie ISMS) | Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu ISMS i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia ISMS. | |
Tekst pochodzi z serwisu Computerworld
wydrukuj
Komentarze
- Liczba zatwierdzonych komentarzy (3) |
- dodaj komentarz |
- zobacz wszystkie
phi
- ocena: brak oceny
- IP: 89.77.118.170
- 13-03-2009, 11:50
Bardzo
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
